Аутентификация имени пользователя, пароля с помощью фильтров в Java (связь с базой данных)

Ниже приведен фрагмент кода Java с использованием фильтров, которые каждый раз отображают страницу ошибки, если имя пользователя и пароль также верны. Пожалуйста, помогите мне, я не очень разбираюсь в этой концепции.

String sql="select * from reg where username='"+user+"' and pass='"+pwd+"'";
rs=st.executeQuery(sql);
if(rs.next())
{
    chain.doFilter(request,response);
}
else
    sc.getRequestDispatcher("/error.html").forward(request,response);

4 ответа

String sql="select * from reg, где username='"+user+"' и pass='"+pwd+"'";

Это крайне плохая практика. Этот подход требует, чтобы имя пользователя и пароль передавались по простой ванили через запросы. Более того, у вас есть дыра для атаки SQL-инъекцией.

Используйте сессии, в JSP/Servlet там у вас есть HttpSession за. На самом деле также нет необходимости снова и снова нажимать на БД при каждом запросе, используя Filter, Это излишне дорого. Просто положи User в сеансе с использованием Servlet и использовать Filter проверять его наличие по каждому запросу.

Начните с /login.jsp:

<form action="login" method="post">
    <input type="text" name="username">
    <input type="password" name="password">
    <input type="submit"> ${error}
</form>

Затем создайте LoginServlet который отображается на url-pattern из /login и имеет doPost() реализовано следующим образом:

String username = request.getParameter("username");
String password = request.getParameter("password");
User user = userDAO.find(username, password);

if (user != null) {
    request.getSession().setAttribute("user", user); // Put user in session.
    response.sendRedirect("/secured/home.jsp"); // Go to some start page.
} else {
    request.setAttribute("error", "Unknown login, try again"); // Set error msg for ${error}
    request.getRequestDispatcher("/login.jsp").forward(request, response); // Go back to login page.
}

Затем создайте LoginFilter который отображается на url-pattern из /secured/* (вы можете выбрать свой, однако, например, /protected/*, /restricted/*, /users/* и т. д., но это должно по крайней мере охватывать все защищенные страницы, вам также нужно поместить JSP в соответствующую папку в WebContent) и иметь doFilter() реализовано следующим образом:

HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
HttpSession session = request.getSession(false);
String loginURI = request.getContextPath() + "/login.jsp";

boolean loggedIn = session != null && session.getAttribute("user") != null;
boolean loginRequest = request.getRequestURI().equals(loginURI);

if (loggedIn || loginRequest) {
    chain.doFilter(request, response); // User is logged in, just continue request.
} else {
    response.sendRedirect(loginURI); // Not logged in, show login page.
}

Это должно быть так. Надеюсь это поможет.

Чтобы понять, как UserDAO будет выглядеть, вы можете найти эту статью полезной. Это также покрывает, как использовать PreparedStatement чтобы сохранить ваше веб-приложение от атак SQL-инъекций.

Смотрите также:

Используйте подготовленное утверждение, ваш код является открытым приглашением для SQL-инъекции.

Connection con = getMyConnection();
        try {
                //no string concatenation, we use ? instead:
                PreparedStatement ps = con.prepareStatement("select * from reg where username=? and pass=?");
                try {
                        //actual value for parameters are set here:
                        ps.setString(1, user);
                        ps.setString(2, pwd);
                        ResultSet rs = ps.executeQuery();
                        if(rs.next()) {
                                chain.doFilter(request,response);
                        } else {
                                sc.getRequestDispatcher("/error.html").forward(request,response);
                        }

                } finally {
                        ps.close();
                }
        } finally {
                con.close();
        }

Теперь по вашему вопросу, пожалуйста, проверьте:

  • что имена таблиц и столбцов правильные (разве у вас нет столбца "логин" и "имя пользователя"?)
  • что значения действительно правильные (попробуйте запрос в sqldevelopper, например)
  • что он работает с паролем ascii-7 и именем пользователя (это может быть проблемой кодирования)
  • что столбец пароля содержит реальный пароль, а не его хеш

Столько всего плохого в этом...:-/

  1. Большой - SQL-инъекция. Не пишите еще одну строчку SQL в своем коде, пока не поймете это. И это не преувеличение для эффекта; код, написанный без понимания этого, может дать злоумышленнику произвольный доступ к вашей базе данных.
  2. Вы не должны быть в состоянии выполнить такой запрос, потому что вы никогда не должны хранить пароли в открытом тексте. Вместо этого вы должны вычислить и сохранить некоторый (желательно соленый) хэш пароля, а затем хешировать представленный пароль и сравнить его. См., Например, Как лучше всего хранить логин и пароль пользователя и Salting ваш пароль здесь на SO. Это особенно плохо, учитывая вашу уязвимость SQL-инъекций.
  3. select * from reg является ненужным, учитывая, что вы просто хотите знать, существует ли строка. Если вы использовали select 1 вместо этого база данных не должна будет проверять содержимое строки и может обслуживать результаты запроса только из индекса. Если вы ожидали, что будет много строк, select 1 where exists ... будет быстрее, так как это позволит БД замыкать запрос после нахождения хотя бы одной строки.
  4. Вы не закрываете оператор и набор результатов в finally блоки. Это означает, что они не всегда могут быть утилизированы (например, если есть SQLException выбрасывается), что приводит к утечке ресурсов и соединения.

Прежде всего, вы действительно должны использовать для этого параметризованные запросы. Если пользователь вводит '";DROP TABLE reg; как имя пользователя у вас будут большие неприятности.

Кроме того, вы уверены, что имя пользователя и пароль верны? Как насчет капитализации?

Другие вопросы по тегам